Blog

IT Risk Mapping: definire le analisi di scenario per comprendere la vulnerabilità

20 febbraio 2020

Oggi i sistemi informatici delle organizzazioni stanno diventando sempre più interconnessi e, di conseguenza, anche sempre più complessi da monitorare. Definire le analisi di scenario per comprenderne le vulnerabilità è indispensabile se si punta a garantire la continuità di business in qualsiasi condizione, e in tal senso un valido alleato è l'IT Risk Mapping.

 

Cos'è l'IT Risk Mapping?

Nell'economia delle discipline di Risk management, si fa riferimento all’IT Risk Mapping come alla risultante di tutti i rischi potenziali connessi a una determinata architettura IT, visualizzata come una mappa che, per l'appunto, mette in risalto tutte le possibili criticità dell'ecosistema informatica. Una prospettiva completa, dunque, che non si estende solo sugli apparati e sui processi interni, ma che copre tutte le componenti informatiche e digitali esterne con cui può interagire un'azienda. In generale, una mappa dei rischi operativi – la categoria dei rischi a cui fanno capo quelli del mondo IT – ben realizzata dovrebbe consentire di:

 

  • Identificare per ciascun rischio operativo potenziale quale processo potrebbe essere esposto;
  • Identificare le minacce per categoria di asset che causano uno scenario di rischio;
  • Verificare e identificare la presenza di controlli per ciascun rischio identificato o minaccia;
  • Identificare quali processi o persone sono interessati dai vari adempimenti normativi.

 

Risulta evidente che all'interno dello scenario in cui è inserita l'organizzazione, un corretto approccio all'IT Risk Mapping deve tenere conto della continua evoluzione delle cyber minacce, dei trend di mercato, dell'aggiornamento degli asset – tangibili e intangibili – oltre che delle abitudini dei clienti. Senza naturalmente dimenticare i comportamenti dei collaboratori. Una volta tracciata una mappa dettagliata dei rischi, il top management avrà la facoltà di decidere dove allocare le risorse necessarie a mitigare gli effetti di quelli che l'impresa può assumersi e arginare quelli che invece l'organizzazione non può permettersi di affrontare.

 

L'importanza del confronto con modelli standard e benchmark di mercato

È evidente che da questo punto di vista Chief Information Officer (CIO), IT Risk Manager e Operational Risk Manager devono considerare un'infinità di variabili, sviluppando la capacità di addentrarsi nel particolare di ciascuna potenziale vulnerabilità, senza perdere la visione d'insieme degli ambienti informatici. Una falla individuata in una determinata area funzionale o in un processo isolato, infatti, può comportare conseguenze che possono estendersi su molti altri livelli. In questo senso il confronto continuo con casi di studio e benchmark di mercato è fondamentale nell'aiutare CIO e IT Risk Manager a comprendere meglio la reale portata di un rischio e a prevedere con uno spettro di possibilità più ampio e più profondo quale sarà l'impatto di un eventuale disservizio. I dati generati dall'ecosistema aziendale, una volta raccolti ed elaborati per delineare la mappa dei rischi, vanno dunque confrontati con modelli standard e framework di riferimento del settore per rapportare strategie e soluzioni che si sono dimostrate vincenti con la situazione peculiare dell'impresa. Una ricetta rivelatasi efficace con certe premesse, infatti, può risultare vana nel momento in cui mutano determinate condizioni.

 

Due strade per creare la mappa dei rischi: Risk based approach e Functional risk approach

Ci sono essenzialmente due modi per riuscire a costruire questa visione d'insieme. Il primo si fonda sul Risk based approach. Un modo nuovo di osservare i processi, le persone, gli strumenti di una grande azienda da un punto di vista dei rischi connessi: ha l'obiettivo di individuare, valutare e gestire i rischi attraverso lo svolgimento di attività volte all'identificazione degli asset IT aziendali, dei processi e delle minacce,  con la creazione di workflow integrati coi rischi utili a rilevare la reale portata degli incidenti IT. La mappatura e la valutazione dei controlli fa leva anche su operazioni di assessment web-based e sull'elaborazione di serie statistiche e dati storici, sfruttando i quali diventa possibile realizzare piani di azione di mitigazione  e analisi "drill down" esportabili in Excel, a disposizione quindi degli utenti interessati.

Il Functional risk approach è un approccio di secondo livello che, in aggiunta a quanto appena esposto, prevede anche la facoltà di valutare all'unisono gli apporti specifici di ogni singola funzione aziendale coinvolta nel processo di verifica. L'adozione di questo sistema rappresenta un passo verso l’integrazione dei rischi e consente di rendere ancora più accurate le operazioni di IT Risk Mapping: si passa infatti dall'effettuare analisi dei rischi specifici per singole e differenti funzioni di controllo, ciascuna con il proprio framework metodologico e le proprie prassi operative, al mettere a fattor comune metodologie, valutazioni, analisi di rischio provenienti dai vari dipartimenti. Diventa quindi possibile definire i ruoli specifici delle funzioni aziendali, censire e valutare presidi specialistici per funzione, effettuare analisi su diversi framework e integrare il tutto con la funzione Rischi operativi. È così che si sviluppa una mappa esaustiva e in continuo aggiornamento degli scenari in cui può incorrere l'organizzazione sul piano IT.

New call-to-action

Topic: Risk Management